Chapril » Infra Chapril

D'après la supervision, depuis hier après-midi, la VM lamp a une charge élevée et la swap saturée.

La swap est consommée par des processus "crond" dont j'ai du mal à trouver l'origine. lsof indique que ce "crond" se trouve dans un dossier /dev/shm/.ICE-Unix/.dev/.
Dans ce dossier (suspect), on trouve aussi un fichier de configuration qui mentionne "url": "pool.supportxmr.com:3333".
Une rapide recherche m'oriente vers un projet github nommé xmrig de type "CryptoNight and GhostRider unified CPU/GPU miner" (je sais pas ce que c'est).

=(^-^)=root@lamp:/etc# pgrep -af crond
171873 ./crond
172205 ./crond
173988 ./crond
174511 ./crond
174681 ./crond

=(^-^)=root@lamp:/etc# lsof -p 171873
COMMAND    PID     USER   FD      TYPE DEVICE SIZE/OFF     NODE NAME
crond   171873 www-data  cwd       DIR  253,0     4096        2 /
crond   171873 www-data  rtd       DIR  253,0     4096        2 /
crond   171873 www-data  txt       REG   0,24  7031008        7 /dev/shm/.ICE-Unix/.dev/crond (deleted)
crond   171873 www-data    0r     FIFO   0,13      0t0 25059943 pipe
crond   171873 www-data    1w      CHR    1,3      0t0        4 /dev/null
crond   171873 www-data    2w      CHR    1,3      0t0        4 /dev/null
crond   171873 www-data    3w      CHR    1,3      0t0        4 /dev/null
crond   171873 www-data    4r      CHR    1,9      0t0        9 /dev/urandom
crond   171873 www-data    5u  a_inode   0,14        0     9694 [eventpoll:8,10,11,12,13]
crond   171873 www-data    6r     FIFO   0,13      0t0 25061490 pipe
crond   171873 www-data    7w     FIFO   0,13      0t0 25061490 pipe
crond   171873 www-data    8r     FIFO   0,13      0t0 25061489 pipe
crond   171873 www-data    9w     FIFO   0,13      0t0 25061489 pipe
crond   171873 www-data   10u  a_inode   0,14        0     9694 [eventfd:2]
crond   171873 www-data   11u  a_inode   0,14        0     9694 [eventfd:3]
crond   171873 www-data   12r  a_inode   0,14        0     9694 inotify
crond   171873 www-data   13u  a_inode   0,14        0     9694 [eventfd:4]
crond   171873 www-data   14r      CHR    1,3      0t0        4 /dev/null

=(^-^)=root@lamp:/etc# ll /dev/shm/.ICE-Unix/.dev/
total 6900
-rw-r--r-- 1 www-data www-data     100 25 févr.  2023 a.sh
-rw-r--r-- 1 www-data www-data      55 25 févr.  2023 b
-rw-r--r-- 1 www-data www-data    2450  8 sept. 14:59 config.json
-rwxr-xr-x 1 www-data www-data 7031008  2 févr.  2023 crond
-rwxr-xr-x 1 www-data www-data   13168 25 févr.  2023 libprocesshider.so
-rw-r--r-- 1 www-data www-data    3479 25 févr.  2023 p.c

Avant de faire le ménage, j'ai fait une copie du dossier /dev/shm/.ICE-Unix/.dev/ dans /root/agir_1500/

PS: pour info, avant de faire le ménage, j'avais vu des process /usr/sbin/client correspondant à un exécutable qui n'existe pas vraiment.

Il y avait encore des processus /usr/sbin/client avec du trafic réseau.
Ça l'air d'être des script perl vu ce qu'il y a dans /proc/, je les ai tués, après reboot apache2 ça a l'air ok.

Une partie de ce qu'il y a dans /dev/shm/.ICE-Unix/.dev/ permet de cacher des process mais il faut être root pour l'utiliser et ils ont pas l'air d'avoir réussi à la devenir.

le temps qu'on vérifie que c'est bien corrigé, j'ai bloqué la méthode POST dans le virtualhost qui a l'être nécessaire pour exploiter la vulnérabilité

J'ai packagé la v4.1.18 et je l'ai installée. J'ai l'impression que tout va bien pour l'instant.
(si vraiment tout va bien, il faudra penser à supprimer le snapshot sur persan : vmsnap rm lamp vm-lamp__snap_20240911_1915_pre_upgrade_spip)

La doc rapide pour recommencer un nouveau paquet : https://admin.chapril.org/admin/services/www.chapril.org/debianize